Güvenlik Microsoft Defender XDR değerlendirme ve pilot uygulama

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Bu makale serisi nasıl çalışır?

Bu seri, uçtan uca bir deneme XDR ortamı ayarlama sürecinde size adım adım yol gösterir; böylece Microsoft Defender XDR özelliklerini ve özelliklerini değerlendirebilir ve hatta hazır olduğunuzda değerlendirme ortamını doğrudan üretim ortamına yükseltebilirsiniz.

XDR güvenliği konusunda yeniyseniz, çözümün ne kadar kapsamlı olduğunu öğrenmek için bu serideki 7 bağlantılı makaleyi tarayabilirsiniz.

XDR ve Microsoft Defender XDR nedir?

XDR güvenliği, bir zamanlar yalıtılmış olan sistemlerden gelen tehdit verilerini aldığından ve desenleri daha hızlı görebilmeniz ve üzerinde daha hızlı işlem yapabilmek için birleştirdiğinden, siber güvenlikte bir adım ileriye doğru ilerler.

Örneğin, Microsoft XDR uç noktayı (uç nokta algılama ve yanıt veya EDR), e-postayı, uygulamayı ve kimlik güvenliğini tek bir yerde birleştirilir.

Microsoft Defender XDR, Uç nokta, e-posta, uygulamalar ve kimlikler dahil olmak üzere Microsoft 365 ortamınızdaki sinyal, tehdit ve uyarı verilerini otomatik olarak toplayan, ilişkilendiren ve analiz eden bir eXtended algılama ve yanıt (XDR) çözümüdür. Saldırıları otomatik olarak durdurmak ve etkilenen varlıkları güvenli bir duruma getirmek için yapay zeka (AI) ve otomasyondan yararlanıyor.

Microsoft Defender XDR güvenliğini değerlendirmek için Microsoft önerileri

Microsoft, değerlendirmenizi mevcut bir Office 365 üretim aboneliğinde oluşturmanızı önerir. Bu şekilde hemen gerçek dünya içgörüleri elde eder ve ayarları ortamınızdaki mevcut tehditlere karşı çalışacak şekilde ayarlayabilirsiniz. Deneyim kazandıktan ve platformdan memnun olduktan sonra, her bileşeni birer birer üretime yükseltmeniz yeterlidir.

Siber güvenlik saldırısının anatomisi

Microsoft Defender XDR Bulut tabanlı, birleşik, ihlal öncesi ve sonrası kurumsal savunma paketidir. Uç noktalar, kimlikler, uygulamalar, e-posta, işbirliğine dayalı uygulamalar ve bunların tüm verileri arasında önleme, algılama, araştırma ve yanıtı koordine eder.

Bu çizimde bir saldırı sürüyor. Kimlik avı e-postası, kuruluşunuzdaki bir çalışanın Gelen Kutusu'na ulaşır ve e-posta ekini bilmeden açar. Bu, hassas verilerin çalınmasıyla sona erebilecek bir olay zincirine yol açan kötü amaçlı yazılımları yükler. Ancak bu durumda, Office 365 için Defender çalışır durumdadır.

Çeşitli saldırı girişimleri

Çizimde:

  • Office 365 için Microsoft Defender parçası olan Exchange Online Protection, kimlik avı e-postasını algılayabilir ve gelen kutusuna hiç ulaşmadığından emin olmak için posta akışı kurallarını (taşıma kuralları olarak da bilinir) kullanabilir.
  • Office 365 için Defender, eki test etmek ve zararlı olduğunu belirlemek için Güvenli Ekler'i kullanır; bu nedenle gelen posta kullanıcı tarafından eyleme dönüştürülemez veya ilkeler postanın hiç gelmesini önler.
  • Uç Nokta için Defender , şirket ağına bağlanan ve aksi takdirde kötüye kullanılabilecek cihaz ve ağ güvenlik açıklarını algılayan cihazları yönetir.
  • Kimlik için Defender , ayrıcalık yükseltme veya yüksek riskli yanal hareket gibi ani hesap değişikliklerini not alır. Ayrıca güvenlik ekibi tarafından düzeltilmesi için kısıtlanmamış Kerberos temsilcisi gibi kolayca yararlanılan kimlik sorunlarını bildirir.
  • Microsoft Defender for Cloud Apps imkansız seyahat, kimlik bilgisi erişimi ve olağan dışı indirme, dosya paylaşımı veya posta iletme etkinliği gibi anormal davranışlar fark eder ve bunları güvenlik ekibine bildirir.

Microsoft Defender XDR bileşenleri cihazların, kimliklerin, verilerin ve uygulamaların güvenliğini sağlar

Microsoft Defender XDR, birlikte çalışan bu güvenlik teknolojilerinden oluşur. XDR ve Microsoft Defender XDR özelliklerinden yararlanmak için bu bileşenlerin tümüne ihtiyacınız yoktur. Bir veya iki tane kullanarak da kazançlar ve verimlilikler elde edebilirsiniz.

Bileşen Açıklama Başvuru malzemesi
Kimlik için Microsoft Defender Kimlik için Microsoft Defender gelişmiş tehditleri, güvenliği aşılmış kimlikleri ve kuruluşunuza yönelik kötü amaçlı insider eylemlerini tanımlamak, algılamak ve araştırmak için Active Directory sinyallerini kullanır. Kimlik için Microsoft Defender nedir?
Exchange Online Protection Exchange Online Protection, kuruluşunuzu istenmeyen postalara ve kötü amaçlı yazılımlara karşı korumaya yardımcı olan yerel bulut tabanlı SMTP geçişi ve filtreleme hizmetidir. Exchange Online Protection (EOP) genel bakış - Office 365
Office 365 için Microsoft Defender Office 365 için Microsoft Defender, kuruluşunuzu e-posta iletileri, bağlantılar (URL' ler) ve işbirliği araçlarının oluşturduğu kötü amaçlı tehditlere karşı korur. Office 365 için Microsoft Defender - Office 365
Uç Nokta için Microsoft Defender Uç Nokta için Microsoft Defender cihaz koruması, ihlal sonrası algılama, otomatik araştırma ve önerilen yanıt için birleşik bir platformdur. Uç Nokta için Microsoft Defender - Windows güvenliği
Bulut Uygulamaları için Microsoft Defender Microsoft Defender for Cloud Apps, bulut uygulamalarınıza derin görünürlük, güçlü veri denetimleri ve gelişmiş tehdit koruması getiren kapsamlı bir SaaS çözümüdür. Cloud Apps için Defender nedir?
Microsoft Entra ID Koruması Microsoft Entra ID Koruması milyarlarca oturum açma girişiminden kaynaklanan risk verilerini değerlendirir ve ortamınızda her oturum açma riskini değerlendirmek için bu verileri kullanır. Bu veriler, Koşullu Erişim ilkelerinin nasıl yapılandırıldığına bağlı olarak hesap erişimine izin vermek veya erişimi engellemek için Microsoft Entra ID tarafından kullanılır. Microsoft Entra ID Koruması, Microsoft Defender XDR'dan ayrı olarak lisanslanır. Microsoft Entra ID P2'ye dahildir. Kimlik Koruması nedir?

Microsoft Defender XDR mimarisi

Aşağıdaki diyagramda önemli Microsoft Defender XDR bileşenleri ve tümleştirmeleri için üst düzey mimari gösterilmektedir. Her Defender bileşeni ve kullanım örneği senaryoları için ayrıntılı mimari, bu makale serisi boyunca verilmiştir.

Microsoft Defender portalının üst düzey mimarisi

Bu çizimde:

  • Microsoft Defender XDR, etki alanları arasında genişletilmiş algılama ve yanıt (XDR) sağlamak için tüm Defender bileşenlerinden gelen sinyalleri birleştirir. Buna birleşik bir olay kuyruğu, saldırıları durdurmak için otomatik yanıt, kendi kendini düzeltme (güvenliği aşılmış cihazlar, kullanıcı kimlikleri ve posta kutuları için), çapraz tehdit avcılığı ve tehdit analizi dahildir.
  • Office 365 için Microsoft Defender, kuruluşunuzu e-posta iletileri, bağlantılar (URL'ler) ve işbirliği araçları tarafından ortaya konan kötü amaçlı tehditlere karşı korur. Bu etkinliklerden kaynaklanan sinyalleri Microsoft Defender XDR ile paylaşır. Exchange Online Protection (EOP), gelen e-postalar ve ekler için uçtan uca koruma sağlamak üzere tümleşiktir.
  • Kimlik için Microsoft Defender, Active Directory Federasyon Hizmetleri (AD FS) ve şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) çalıştıran sunuculardan sinyaller toplar. Bu sinyalleri hibrit kimlik ortamınızı korumak için kullanır. Bu sinyaller, şirket içi ortamdaki iş istasyonları arasında yaya olarak hareket etmek için güvenliği aşılmış hesapları kullanan korsanlara karşı koruma da dahil olmak üzere.
  • Uç Nokta için Microsoft Defender, kuruluşunuz tarafından kullanılan cihazlardan sinyal toplar ve bu cihazları korur.
  • Microsoft Defender for Cloud Apps, kuruluşunuzun bulut uygulamalarını kullanmasından gelen sinyalleri toplar ve hem tasdikli hem de tasdiksiz bulut uygulamaları dahil olmak üzere ortamınızla bu uygulamalar arasında akan verileri korur.
  • Microsoft Entra ID Koruması milyarlarca oturum açma girişiminden kaynaklanan risk verilerini değerlendirir ve ortamınızda her oturum açma riskini değerlendirmek için bu verileri kullanır. Bu veriler, Koşullu Erişim ilkelerinin nasıl yapılandırıldığına bağlı olarak hesap erişimine izin vermek veya erişimi engellemek için Microsoft Entra ID tarafından kullanılır. Microsoft Entra ID Koruması, Microsoft Defender XDR'dan ayrı olarak lisanslanır. Microsoft Entra ID P2'ye dahildir.

Microsoft SIEM ve SOAR, Microsoft Defender XDR verilerini kullanabilir

Bu çizimde bulunmayan ek isteğe bağlı mimari bileşenleri:

  • Tüm Microsoft Defender XDR bileşenlerinden gelen ayrıntılı sinyal verileri Microsoft Sentinel ile tümleştirilebilir ve tam SIEM ve SOAR özellikleri ve içgörüleri sunmak için diğer günlük kaynaklarıyla birleştirilebilir.
  • XDR olarak Microsoft Defender XDR bir Azure SIEM olan Microsoft Sentinel'i kullanma hakkında daha fazla bilgi için bu Genel Bakış makalesine, Microsoft Sentinel ve Microsoft Defender XDR tümleştirme adımlarına göz atın.
  • Microsoft Sentinel'de SOAR hakkında daha fazla bilgi için (Microsoft Sentinel GitHub Deposundaki playbook'lara bağlantılar dahil), lütfen bu makaleyi okuyun.

siber güvenlik Microsoft Defender XDR değerlendirme süreci

Microsoft, Microsoft 365 bileşenlerinin aşağıdaki sırayla etkinleştirilmesini önerir:

Microsoft Defender portalında üst düzey değerlendirme süreci

Aşağıdaki tabloda bu çizim açıklanmaktadır.

Seri Numarası Adım Açıklama
1 Değerlendirme ortamını oluşturun Bu adım, Microsoft Defender XDR için deneme lisansına sahip olduğunuzdan emin olun.
2 Kimlik için Defender'ın etkinleştirilmesi Mimari gereksinimlerini gözden geçirin, değerlendirmeyi etkinleştirin ve farklı saldırı türlerini tanımlamaya ve düzeltmeye yönelik öğreticileri gözden geçirin.
3 Office 365 için Defender etkinleştirme Mimari gereksinimlerini karşıladığınızdan emin olun, değerlendirmeyi etkinleştirin ve ardından pilot ortamı oluşturun. Bu bileşen Exchange Online Protection içerir ve bu nedenle her ikisini de burada değerlendirebilirsiniz.
4 Uç Nokta için Defender'ın etkinleştirilmesi Mimari gereksinimlerini karşıladığınızdan emin olun, değerlendirmeyi etkinleştirin ve ardından pilot ortamı oluşturun.
5 Microsoft Defender for Cloud Apps etkinleştirme Mimari gereksinimlerini karşıladığınızdan emin olun, değerlendirmeyi etkinleştirin ve ardından pilot ortamı oluşturun.
6 Tehditleri araştırın ve karşı yanıt verin Bir saldırının benzetimini yapıp olay yanıtı özelliklerini kullanmaya başlayın.
7 Deneme sürümünü üretime yükseltin Microsoft 365 bileşenlerini tek tek üretime yükseltin.

Bu sıra genellikle önerilir ve özellikleri dağıtmak ve yapılandırmak için gereken çabaya göre özelliklerin değerinden hızlı bir şekilde yararlanmak için tasarlanmıştır. Örneğin Office 365 için Defender, cihazları Uç Nokta için Defender'a kaydetmek için gerekenden daha kısa sürede yapılandırılabilir. Elbette, iş gereksinimlerinizi karşılamak için bileşenleri önceliklendirmeniz gerekir ve bunları farklı bir sırayla etkinleştirebilirsiniz.

Sonraki Adıma Gitme

Microsoft Defender XDR Değerlendirme Ortamı hakkında bilgi edinin ve/veya oluşturun

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.